Websense: quali tracce persistono sul web dopo il nostro passaggio

Ferdinando Mancini, Sr. Manager Sales Engineering di Websense Italia (www.websense.it) ci spiega quali tracce permangono sul web dopo il nostro passaggio. Quando navighiamo su Internet, rilasciamo informazioni continuamente, alcune volte in forma consapevole ed altre automaticamente, senza che la raccolta ci venga evidenziata. Una delle prime cose nelle quali impattiamo quando navighiamo su Internet, sono sicuramente i cookie, piccoli file di testo memorizzati nel computer o nel dispositivo mobile dell’utente “raccolti quando visita il nostro sito web, per migliorare l’esperienza della sua navigazione”, spiega una qualsiasi pagina web.

Oltre 37 milioni di utenti hanno subito in ultimo anno attacchi di phishing

Secondo i risultati della ricerca “L’evoluzione degli attacchi di phishing 2011-2013” di Kaspersky Lab, il numero degli utenti Internet colpiti da attacchi di phishing nell’ultimo anno è cresciuto da 19,9 milioni a 37,7 milioni, con un aumento dell’87%. Facebook, Yahoo!, Google e Amazon sono i principali obiettivi dei criminali informatici. L’indagine, realizzata nel giugno 2013 sulla base dei dati forniti dal servizio cloud di Kaspersky Security Network dimostra che quello che una volta era un sottoinsieme dello spam, si è evoluto in un minaccia informatica in rapida crescita.

GFI Labs: utenti LinkedIn, PayPal e Amazon colpiti da spam il mese scorso

GFI Software ™ ha pubblicato il suo VIPRE ® report di dicembre 2012, una raccolta dei 10 più diffusi rilevamenti delle minacce incontrate il mese scorso. Nel mese di dicembre, i ricercatori delle minacce GFI hanno trovato una manciata di false app Google Play ™ nei mercati di hosting Trojan mobile, nonché un certo numero di campagne e-mail di spam che propongono messaggi da Amazon ®, PayPal ™ e LinkedIn ®.

"I cybercriminali spesso fanno lo sforzo di creare siti web fasulli ed e-mail di spam che appaiono autentici, al fine di aumentare le possibilità di catturare utenti di sorpresa e infettare i loro PC", ha dichiarato Christopher Boyd, senior threat researcher di GFI Software. "Nel corso dell'ultimo anno, abbiamo visto i criminali informatici migliorare la loro capacità di fabbricare siti ancora più convincenti che predano gli utenti che si precipitano a fornire informazioni personali o installare applicazioni senza completamente indagare la legittimità della fonte. Gli utenti dovrebbero essere molto attenti in ogni situazione, prendendo il tempo di guardare gli URL e manualmente la navigazione verso i siti che si desidera visitare".

Gli utenti Android ™ alla ricerca di driver di Windows per i loro smartphone su Yahoo! hanno incontrato vari tipi di infezioni dllo stesso URL maligno lo scorso mese, a seconda del tipo di dispositivo che viene utilizzato per condurre la loro ricerca. Gli utenti che navigavano da un PC hanno avviato un download automatico di un cavallo di Troia, quando hanno cliccato sul link maligno, mentre gli utenti alla ricerca di un dispositivo Android sono stati reindirizzati a un certo numero di siti web infetti pieni di falsi risultati di ricerca.

Questi risultati portano ai mercati di false Google Play app che ospitano due tipi di Trojan Android, simili a quelli del Boxer Trojan, che hanno dirottato il telefono della vittima e inviato messaggi SMS a numeri premium. Gli utenti di LinkedIn sono stati vittime di una campagna di e-mail spam che ha inviato messaggi che indicano che un altro membro ha chiesto di collegarsi sul popolare sito di social networking. Gli utenti che hanno fatto clic sul link per accettare l'invito sono stati inviati a uno dei tanti siti web compromessi contenenti codice Blackhole Exploit Kit che li ha reindirizzati a un sito che ospita il Trojan Cridex.

I clienti di Amazon sono stati anche vittime di una campagna simile che ha inviato e-mail travestite da conferme d'ordine, ricevute, o conferme di ordine Kindle ™ e-book. Il mese scorso, lo stesso Trojan ha contagiato anche i sistemi di vittime di spam che hanno ricevuto e-mail di PayPal fraudolente in modo falso, sostenendo che il loro pagamento di considerevoli dimensioni era stato elaborato per un aggiornamento del sistema operativo  Windows ® 8.

I link contenuti nella e-mail hanno portato a siti con exploit Blackhole che servono Cridex. Tutte le truffe di cui sopra predano gli utenti sulla convinzione che stavano visitando siti autentici e necessaria l'attiva partecipazione da parte delle vittime che avevano bisogno di cliccare su link pericolosi all'interno delle email di spam. Ognuno avrebbe potuto evitata semplicemente verificando che gli indirizzi email utilizzati dai mittenti e gli URL a cui ogni link indirizzava sono stati associati con i siti web di fiducia e organizzazioni.

Top 10 delle minacce di dicembre 
Individuazioni GFI delle minacce top 10 del rilevamento che è stato compilato a partire dai dati di scansione raccolti da decine di migliaia di clienti VIPRE Antivirus che fanno parte di GFI ThreatNet ™ sistema automatico di rilevamento delle minacce. ThreatNet statistiche hanno rivelato che adware hanno dominato il mese, prendendo quattro dei primi 10 posti.

Informazioni su GFI Labs
GFI Labs è specializzata nella scoperta e analisi delle vulnerabilità e malware pericolosi. Il team di specialisti di sicurezza dedicati studia attivamente nuove epidemie di malware, la creazione di nuove definizioni delle minacce su una base costante per prodotti VIPRE antivirus home e business.

Informazioni su GFI
GFI Software fornisce la sicurezza web e mail, archiviazione e software fax, networking e la sicurezza e ha ospitato soluzioni IT per aziende e piccole medie imprese (PMI) con una vasta comunità di partner globali. I prodotti GFI sono disponibili sia come soluzioni on-premise, nel cloud o come un ibrido di entrambi i modelli di delivery. Con premiata tecnologia, una strategia di prezzi competitivi, e una forte attenzione alle esigenze specifiche delle piccole e medie aziende, GFI soddisfa le esigenze IT delle organizzazioni su scala globale.

La società ha uffici negli Stati Uniti, Regno Unito, Austria, Australia, Malta, Hong Kong, Filippine e Romania, che insieme supportare centinaia di migliaia di installazioni in tutto il mondo. GFI è orientata alla collaborazione con migliaia di partner in tutto il mondo ed è anche un Microsoft Gold Partner ISV. 

Disclaimer: Tutti i nomi di prodotti e  aziende qui menzionati possono essere marchi commerciali dei rispettivi possessori. Per quanto ci è dato conoscere, al momento della pubblicazione di questo documento tutti i dettagli sono corretti; le presenti informazioni sono tuttavia soggette a modifica senza preavviso.

Fonte: GFI Software

Nuovo sistema di Facebook elimina immediatamente le foto dai suoi server

Sono trascorsi più di tre anni da quando ArsTechnica scoprì l'incapacità di Facebook a rimuovere le foto "cancellati" dai suoi server, ma questa particolare saga sembra stia volgendo al termine. La società ha dichiarato che i nuovi sistemi di conservazione delle foto sono a posto e adesso l'eliminazione delle foto avviene entro un ragionevole periodo di tempo e Asr  ha potuto confermare in modo indipendente.

Per prima cosa Asr ha iniziato a studiare Facebook, MySpace, Flickr, e Twitter nel 2009 per vedere quanto velocemente le loro foto scomparissero da Internet dopo che li avevano eliminati da ciascuna delle reti sociali. Il suo metodo per il controllo delle foto è stato quello di salvare un collegamento diretto con il JPEG in questione, facilmente ottenibile da chiunque con il tasto destro del mouse su una foto e aprendolo in una nuova scheda / finestra del browser, quindi effettuadno la copia della URL.

Anche se per Twitter e Flickr ci sono voluti pochi secondi per rimuovere le foto dai loro Content Delivery Network (CDN) dopo la cancellazione dal sito, MySpace e Facebook non sono stati così veloci. MySpace è riuscito a cancellare le foto dal suo CDN mesi più tardi e Facebook ha impiegato più di un anno. Nonostante ciò, le foto di numerosi lettori di Ars sono rimasti online (attraverso collegamento diretto) per tre anni o più .

Facebook sosteneva che gli utenti che avevano gli URL diretti delle foto cancellate erano rari e che le foto erano disponibili online solo per un "periodo limitato di tempo". Ma nel mese di febbraio di quest'anno, la società ha finalmente ammesso che i suoi sistemi non hanno lavorato correttamente fino a quel momento, confermando che non tutte le foto sono state cancellate entro un ragionevole lasso di tempo.

"I sistemi che abbiamo usato per la memorizzazione delle foto di qualche anno fa non sempre hanno rimosso le immagini dalla rete entro un termine ragionevole di tempo, anche se sono state immediatamente rimosse dal sito", aveva detto il portavoce di Facebook Frederic Wolens ad Ars nel mese di febbraio. "Abbiamo lavorato duramente per spostare la nostra memoria foto a nuovi sistemi che garantiscono la completa eliminazione delle foto".

Adesso la situazione è cambiata. Dal mese di febbraio, tutti i collegamenti diretti  delle foto che sono stati inviati dai lettori ad Ars sono scomparsi, e Jacqui Cheng, senior Apple editor ad Ars Technica, ha cominciato a cancellare le sue foto di nuovo dal sito di Facebook per vedere quanto tempo ci sarebbe voluto per la loro rimozione dal CDN. Ha provato questo con due foto ed entrambe sono diventati inaccessibile da link diretto entro due giorni dalla cancellazione.

Wolens ha confermato ad Ars che questo era un risultato della nuova politica della cancellazione delle foto di Facebook e sistemi di storage. "Come risultato di un lavoro sulle nostre politiche e le infrastrutture, abbiamo istituito un 'max-age' di 30 giorni per i nostri collegamenti CDN", ha detto Wolens ad Asr Technica questa settimana. "Tuttavia, in alcuni casi il contenuto scade al CDN molto più rapidamente, sulla base di una serie di fattori".

Wolens non ha spiegato tali fattori, ma ha sottolineato ancora una volta che le persone che navigano casualmente su Facebook non vedranno più le foto subito dopo l'eliminazione. "Come sapete, le foto cessano di essere mostrate ad altri utenti su Facebook immediatamente quando la foto viene cancellata dall'utente. La finestra di 30 giorni si applica solo alle immagini memorizzate nella cache sul CDN", ha detto Wolens.

Meglio tardi che mai, ma 3 + anni è ancora un bel po 'per il social network più famoso al mondo per capire come rimuovere le immagini dal suo CDN correttamente. (CEO di Facebook Mark Zuckerberg è probabilmente felice politiche aziendali hanno finalmente cambiato, anche, perché ci potrebbero essere le foto ancora più imbarazzanti che non sono stati scaricati da parte di estranei, prima di essere "cancellato" dal sito.)

Facebook ha acquistato il servizio di condivisione foto Instagram nel mese di aprile di quest'anno, così  Cheng ha pensato di dare un'occhiata anche alle procedure di cancellazione delle foto Instagram. Le due società non dovrebbero essere completamente integrate, a questo punto, quindi è logico che Instagram potrebbe funzionare un pò diversamente da Facebook, al momento della stesura di questo articolo.

Ha provato cancellando due foto per un periodo di quattro mesi. La prima è stata "cancellata" nel mese di aprile, ma non è scomparsa dai server di Instagram fino alla settimana scorsa, mentre la seconda è scomparsa istantaneamente. Non c'è stato alcun ritardo: nel momento in cui ha cancellato l'immagine, era già inaccessibile dai server di Instagram. Curiosa del divario,  Cheng ha chiesto alla società circa le sue politiche.

"Noi contrassegniamo le foto come eliminate in [Amazon S3] dopo una cancellazione dell'account utente, anche se possono essere memorizzate nella cache nel nostro CDN fino a 24 ore dopo. C'è stato un breve periodo di tempo in cui le foto non sono state sempre contrassegnate come eliminate in S3, ma è stato risolto", ha detto il portavoce di Instagram Kevin Systrom, in risposta ai 4 mesi di ritardo nel cancellare la prima foto di Cheng.

I problemi di privacy su Facebook non sono comunque finiti. Ad esempio, la Norvegia ha avviato un'indagine sul riconoscimento facciale di Facebook. Per lo stesso motivo il Garante per la privacy in Germania, ha riaperto l'indagine che aveva sospeso a Giugno per cercare di convincere Facebook a cambiare le sue politiche. Poiché la società si muove in avanti nel suo nuovo ruolo di azienda pubblica, tali questioni dovranno essere affrontate se Facebook vuole rimanere ancora in cima.

Hack account iCloud, Apple e Amazon: stop a reset password via telefono

Lo scorso venerdì 3 agosto, Mat Honan, un giornalista di Wired ed ex dipendente di Gizmondo, ha raccontato la vicenda di come il suo account iCloud sia stato violato provocando la cancellazione in remoto dei dati del suo iPhone, iPad e MacBook Air, più di un anno di foto personali perduti nel nulla. Gli hacker hanno successivamente violato anche il suo account di posta elettronica Gmail e inviato tweet omofobi dall'account di Gizmodo.

"Nello spazio di un'ora, - scrive Homan in un post - tutta la mia vita digitale è stata distrutta. In primo luogo il mio account Google è stato preso, poi cancellato. Dopo il ​​mio account Twitter è stato compromesso ed usato come piattaforma per diffondere messaggi razzisti e omofobi. E peggio di tutto, il mio account AppleID è stato violato, e l'hacker lo ha usato per cancellare da remoto tutti i dati sul mio iPhone, iPad e MacBook".

"Stavo giocando con mia figlia, quando il mio telefono è morto. E poi si è riavviato con la schermata di impostazione. Questo è stato irritante, ma non ero preoccupato. Ho pensato che era un problema tecnico software. E, il mio telefono esegue automaticamente il backup ogni notte. Ho appena pensato che sarebbe stato un dolore, e nulla più. Ho inserito il mio login icloud da ripristinare, e non è stato accettato. Ancora una volta, mi sono irritato, ma non allarmato".

"Sono andato a collegarlo al mio computer e ripristinare dal backup, come avevo fatto appena l'altro giorno. Quando ho aperto il mio computer portatile, è saltato fuori un messaggio di iCal dicendomi che le mie informazioni dell'account Gmail erano sbagliate. Poi lo schermo diventa grigio, e ha chiesto un pin a quattro cifre. A questo punto, sapevo che c'era qualcosa di molto sbagliato. Mi diressi verso il corridoio per afferrare il mio iPad dalla mia borsa da lavoro".

"Era stato resettato. Non potevo accendere il mio computer, il mio iPad o iPhone. Ho usato l'iPhone di mia moglie per chiamare il supporto tecnico di Apple. Mentre ero in attesa, ho preso il suo computer portatile e ho cercato di accedere a Gmail. La mia password era cambiata. Non riuscivo a reimpostare perché il backup era andato su icloud, dove la mia password era stata cambiata".

"Ho controllato Twitter, e vidi che qualcuno aveva appena inviato un tweet da tale account. Ho cercato di accedere a Gmail di nuovo, e ora mi dissero che il mio account Google era stato cancellato. Il supporto tecnico di Apple non ha potuto verificare i miei dati, il mio indirizzo, il numero della mia carta di credito, qualsiasi cosa - come informazioni di supporto". Come scrive Forbes, al momento si ipotizzò che l'hacker avesse utilizzato il metodo di bruteforcing.

Il metodo consiste nello scovare la password tentando più volte, ma si è scoperto che è stata la stessa Apple a dare all'ahacker l'accesso al suo account icloud. "So come è stato fatto ora. Lo ha confermato sia gli hacker e Apple. Non era la password relativa. Hanno ottenuto via supporto tecnico di Apple e alcuni metodi di social engineering intelligente che ha permesso di superare le questioni di sicurezza", ha scritto su Wired il giornalista.

Clan Vv3 and Phobia hacked this twitter
— Is this Mat Honan? (@mat) Agosto 4, 2012

L'attacco è stato messo a segno da un hacker che si fa chiamare Phobia, che dopo la compromissione ha contattato Honan per spiegare il metodo con cui ha compiuto il misfatto. In una serie di mosse sorprendentemente semplici l'hacker, dopo aver ottenuto l'indirizzo di posta elettronica di Apple his@me.com, sono entrati nell'account Gmail e Amazon del giornalista e inserendo una nuova carta di credito falsa, sono riusciti a individuare gli ultimi 4 numeri della carta di credito reale dell'utente.

Il nome dell'account e le ultime 4 cifre della carta di credito sono bastati per far credere al servizio clienti Apple che l'hacker fosse il vero titolare dell'account, rilasciando una password per l'accesso a iCloud. La violazione Gizmodo, apparentemente è stata perpetrata da una persona o un gruppo di persone che si fanno chiamare Clan W3, è stata breve ma ha determinato tweet razzisti e offensivi che sono stati inviati Venerdì scorso a 415.000 seguaci del blog di tecnologia.

"Gizmodo inizialmente aveva accusato il suo ex reporter per i tweet e rapidamente ripreso il controllo del suo account", scrive CNet. Il tecnico di Apple è stato vittima di social engineering, una tecnica per manipolare le persone invece dei computer per svolgere un compito o per divulgare informazioni. Apple e Amazon hanno deciso di bloccare momentaneamente l'assistenza telefonica. "Abbiamo studiato l'exploit segnalato, e possiamo confermare che l'exploit è stato chiuso a partire dal pomeriggio di Lunedì", ha detto un portavoce di Amazon ha detto ieri pomeriggio a PcMagazine.

In questi giorni si è parlato della violazione che ha colpito Dropbox e Matt Cutts, ingegnere software di Google, consiglia a tutti di attivare l'autenticazione a due fattori di Google per rendere il proprio account Gmail più sicuro e meno probabilità di essere violato. Una violazione, naturalmente, non basta a incrinare il sistema del cloud computing, sia di Apple, che di altri provider coinvolti, ma lascia pensare. E' notizia di queste ore che Facebook si prepara ad accogliere i giochi real money. Una vera rivoluzione che potrebbe aumentare i tentativi di violazione degli account Facebook e non solo.